A VLAN (Virtual Local Area Network) permite que a rede física seja logicamente segmentada.
VLAN é um método para segmentar logicamente uma rede física para que a conectividade da camada 2 seja restringida a membros que pertencem à mesma VLAN. Essa separação é obtida pela ativação de pacotes Ethernet com suas informações de associação da VLAN e, em seguida, restringindo a entrega a membros dessa VLAN. A VLAN é descrita pelo padrão IEEE 802.1Q.
A informação de tag da VLAN é chamada de VID (ID da VLAN). As portas em um comutador são configuradas como membros de uma VLAN designada pelo VID dessa porta. O VID padrão para uma porta é chamado de PVID (VID da Porta). O VID pode ser incluído em um pacote Ethernet por um host com reconhecimento de VLAN ou pelo comutador no caso de hosts sem conhecimento de VLAN. As portas em um comutador Ethernet devem ser configuradas com informações que indicam se o host conectado possui reconhecimento de VLAN.
Para hosts sem reconhecimento de VLAN, uma porta é configurada como desativada e o comutador ativa todos os pacotes que entram nessa porta com o PVID (ID da VLAN da Porta). Ele também desativa todos os pacotes que saem dessa porta antes da entrega para o host sem reconhecimento de VLAN. Uma porta utilizada para conectar hosts sem reconhecimento de VLAN é chamada de porta desativada e pode ser um membro de apenas uma única VLAN identificada por seu PVID. Os hosts que possuem reconhecimento de VLAN podem inserir e remover suas próprias tags e podem ser membros de mais de uma VLAN. Esses hosts são geralmente conectados a portas que não removem as tags antes de entregar os pacotes para o host, mas inserirão a tag PVID quando um pacote desativado entrar na porta. Uma porta permitirá que os pacotes sejam desativados ou ativados apenas com a tag de uma das VLANs às quais a porta pertence. Essas regras de VLAN são um complemento às regras comuns de redirecionamento baseado em endereço MAC (Media Access Control), seguidas por um comutador. Portanto, um pacote com um MAC de destino de difusão ou de multicast também é entregue às portas do membro que pertencem à VLAN identificada pelas tags no pacote. Esse mecanismo assegura a separação lógica da rede física com base na físico em uma VLAN.